Dome9～IAMSaftyで考える IAMベストプラクティス 1 クラスメソッド株式会社 アライアンス統括部 サイード　ラティファ栄美里

自己紹介 ・名前 サイード　ラティファ栄美里（さいちゃん） ・所属 クラスメソッド株式会社（２０２１年１０月～） アライアンス統括部 ・本日登壇デビュー ・ブログ 　

3 アジェンダ １，Dome9概要 ◦　Dome9って？ ◦　主な機能 ２，IAMベストプラクティスの実現 ◦　ベストプラクティス実現の大変さ ◦　IAM Safetyの概要 ◦　STSとの比較 ３，デモ

4 Dome9の概要

5 Dome9概要 IaaSの設定情報を可視化し人為的ミスの回避とコ ンプライアンス遵守を支援するサービスです

6 CSPMって？ Cloud Security PostureManagement （クラウドセキュリティ動態管理） CSPM

7 セキュリティインシデントの原因 クラウドにおけるセキュリティインシデントの原 因のほとんどは人為的設定ミス ２０２０年時点で９５％を占め、 ２０２５年には９９％を占めると予想される ※Gartner社　２０１８年報告書

8 Dome9でできること

9 IAMベストプラクティスの実現

10 IAMのベストプラクティス ● AWS アカウント ルートユーザーのアクセスキーをロックする ● ロールを使用してアクセス許可を委任する ● 最小限の特権を認める。 ● AWS 管理ポリシーを使用したアクセス許可の使用開始 ● ポリシーの検証 ● インラインポリシーではなくカスタマー管理ポリシーを使用する ● アクセスレベルを使用して、IAM のアクセス許可を確認する ● ユーザーのために強度の高いパスワードポリシーを設定する。 ● MFA の有効化 ● Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する ● アクセスキーを共有しない ● 認証情報を定期的にローテーションする。 ● 不要な認証情報の削除 ● 追加セキュリティに対するポリシー条件を使用する。 ● AWS アカウントのアクティビティのモニタリング

11 IAMのベストプラクティス 多い。多すぎる

12 IAMのベストプラクティス １アカウントでも管理は大変 複数アカウントにもなれば 相当な時間と労力が必要

13 IAMのベストプラクティス Dome9を使いましょう

14 IAMのベストプラクティス 「最小の特権を認める」 ・必要な権限の洗い出しが難しい。 ・結局管理者権限を持つユーザーが増えてしまう。 ・権限を持つユーザーが増える＝リスクが高まる IAMユーザーに今だけ権限を付与したい。 IAM Safetyの特権付与を使って解決

15 IAM Safetyの機能 ・管理者の承認なしに、アカウント設定を 　変更しないように制御 ・ユーザー削除やポリシー削除を禁止し、 　ロールバックで改ざん防止 ・権限の一時的な昇格を簡単に

16 IAM Safety特権付与の利点 ・ワンクリックで簡単に ・時間制で特権の付与が可能 ・自動的に権限をもとに戻す ・権限昇格を管理者が管理 ・誰がいつまで権限昇格しているか一目でわかる ・スマホアプリからの昇格も可能

17 スイッチロールしくみ Role ①このロールに なりたい！ ③スイッチロール ②一時クレデンシャル 発行許可

18 IAM Safety 権限一次付与のしくみ 　IAM グループ（Administer） 　IAMグループ（IAM Safety） 　禁止 ポリシー 　許可 ポリシー 一時的にAdministerへ追加され、昇格終 了後グループから削除された後に、IAM Safetyグループに追加される

19 やってみます デモ

最後に（軽くまとめ） ベストプラクティスの実現は難しい ・できることはどんどん自動化して人為的ミスを 　防ぎましょう。 IAM Safetyを使うメリット ・難しい設定は不要 ・同一アカウントのままで権限だけ変えられる ・管理者が権限の付与を完全に管理 ・誰が権限昇格してるか一目瞭然 IAM Safetyを上手に使って最小特権の原則を実現できる！

21